脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2022年6月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年6月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
===================================
■■■ Google OAuth Client Library for Java
2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処しました。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものです。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがあります。
Google google-oauth-java-client 1.33.2 以下
CVE-2021-22573
CWE-347(暗号化された署名に対する不適切な認証)
CVSS: 8.7
https://vuldb.com/?id.198906
https://nvd.nist.gov/vuln/detail/CVE-2021-22573
https://github.com/googleapis/google-oauth-java-client/pull/872
https://iototsecnews.jp/2022/05/19/high-severity-bug-reported-in-googles-oauth-client-library-for-java/
https://iototsecnews.jp/2022/05/19/high-severity-bug-reported-in-googles-oauth-client-library-for-java/
===================================
■■■ Cisco IOS XR
2022年5月20日に Cisco は、IOS XR ソフトウェアに影響およびす、深刻度 Medium の脆弱性の修正を発表しました。その脆弱性 CVE-2022-20821 (CVSS : 6.5) は、ポート開放の欠陥に関連するものであり、未認証のリモート攻撃者に対して、Redis インスタンスへの接続と、コードを実行を許す可能性があるとのことです。
Cisco 8000 Series Routers
CVE-2022-20821
CWE-200(情報漏えい)
CVSS: 6.5
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
https://iototsecnews.jp/2022/05/20/cisco-issues-patch-for-new-ios-xr-zero-day-vulnerability-exploited-in-the-wild/
===================================
■■■ :Cisco/Android など
Cybersecurity & Infrastructure Security Agency (CISA) は、Android カーネルや Cisco IOS XR などに存在する 41件の脆弱性を、2022年05月21日までの2日間で悪用脆弱性カタログに追加しました。追加された脆弱性は、2016年に公開されたものから、先週の金曜日に修正された Cisco IOS XR にいたるまでの、幅広い年代に分布しているものとなります。
https://iototsecnews.jp/2022/05/24/cisa-adds-41-vulnerabilities-to-list-of-bugs-used-in-cyberattacks/
Microsoft Windows Server 2019、Microsoft Windows 10
CVE-2020-0638
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0638
Google Android 9/10/11/12
CVE-2021-0920, CVE-2021-1048
https://source.android.com/security/bulletin/2021-11-01
Cisco 8000 Series Routers
CVE-2022-20821
CWE-200(情報漏えい)
CVSS: 6.5
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxr-redis-ABJyE5xK
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
===================================
■■■ Mozilla
Pwn2Own Vancouver 2022 ハッキングコンテストで悪用が証明されたゼロデイ脆弱性に対応するために、Mozilla は複数の製品に対してセキュリティ・アップデートを公開しました。具体的には、Firefox/Firefox ESR/Firefox for Android/Thunderbird の脆弱なバージョンを実行している、モバイル/デスクトップ端末で悪用に成功した攻撃者に対して、JavaScript コード実行を許してしまうという、2つの深刻な脆弱性が存在します。
https://iototsecnews.jp/2022/05/24/mozilla-fixes-firefox-thunderbird-zero-days-exploited-at-pwn2own/
Mozilla Firefox 100.0.2 未満、Mozilla Firefox ESR 91.9.1 未満、Mozilla Firefox for Android 100.3 未満、Mozilla Thunderbird 91.9.1 未満
CVE-2022-1529, CVE-2022-1802
https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/
https://www.security-next.com/136694
https://forest.watch.impress.co.jp/docs/news/1411067.html
===================================
■■■ VMware
VMware の複数の製品に存在する、認証なしで管理者権限へのアクセスが可能になる脆弱性に対して、PoC エクスプロイトが公開されようとしています。この脆弱性 CVE-2022-22972 については、先週の水曜日に修正が行われており、速やかなパッチ適用、もしくは、緩和策の適用が、緊急警告として管理者たちに伝えられています。
VMware Access 20.10.0.1/20.10.0.0/21.08.0.1/21.08.0.0、VMware vIDM 3.3.6/3.3.5/3.3.4/3.3.3、VMware vRealize Automation (vIDM) 7.6、VMware Cloud Foundation (vIDM) 4.3.x/4.2.x/4.1/4.0.x、VMware Cloud Foundation (vRA) 3.x、VMware vRealize Suite Lifecycle Manager (vIDM) 8.x
CVE-2022-22972
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/18/cisa-issues-emergency-directive-and-releases-advisory-related
https://iototsecnews.jp/2022/05/24/researchers-to-release-exploit-for-new-vmware-auth-bypass-patch-now/
===================================
■■■ Microsoft Windows
サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれました。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告しました。
https://iototsecnews.jp/2022/05/24/cybersecurity-community-warned-of-fake-poc-exploits-delivering-malware/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-24500, CVE-2022-26809
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24500
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
===================================
■■■ Oracle Solaris
Linux および Solaris 向けのステルス型マルウェア BPFdoor の、内部構造に関する新たな研究により、このマルウェアの背後にいる脅威アクターは、標的システム上で持続性を得るために、古い脆弱性を利用していることが明らかになりました。BPFDoor はカスタム・バックドアであり、少なくとも5年間において、通信/政府/教育/物流などの組織への攻撃で、ほとんど検出されずに使用されてきました。
Oracle Solaris 11
CVE-2019-3010
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2019-3010
https://vuldb.com/?id.143745
https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html#AppendixSUNS
https://www.oracle.com/technetwork/security-advisory/cpuoct2019verbose-5072833.html#SUNS
https://iototsecnews.jp/2022/05/25/bpfdoor-malware-uses-solaris-vulnerability-to-get-root-privileges/
===================================
■■■ Zoom
Google の Project Zero は、ビデオ会議ソフトウェア Zoom を標的とした、ゼロクリック・リモートコード実行の詳細を公開しました。Project Zero の Ivan Fratric は、悪意の行為者が XMPP プロトコル上でメッセージを送信することで、ユーザーとのインタラクションを必要とせずに、チャット機能を介して Zoom ユーザーを侵害する、悪用チェーンについて説明しました。Fratric が公表した悪用チェーンの1つは、XMPP Stanza Smuggling と名付けられています。
https://iototsecnews.jp/2022/05/25/google-discloses-details-of-zoom-zero-click-remote-code-execution-exploit/
Zoom Client for Meetings 5.9.x 以下
CVE-2022-22784
CWE-284(不適切なアクセス制御)
CVSS: 8.1
https://vuldb.com/?id.200336
https://nvd.nist.gov/vuln/detail/CVE-2022-22784
https://explore.zoom.us/en/trust/security/security-bulletin/
Zoom Client for Meetings 5.9.x 以下
CVE-2022-22785, CVE-2022-22787
CVSS: 5.9
https://vuldb.com/?id.200337
https://vuldb.com/?id.200338
https://nvd.nist.gov/vuln/detail/CVE-2022-22785
https://nvd.nist.gov/vuln/detail/CVE-2022-22787
https://explore.zoom.us/en/trust/security/security-bulletin/
Zoom Client for Meetings for Windows 5.9.x 以下、Zoom Rooms for Conference Room for Windows 5.9.x 以下
CVE-2022-22786
CVSS: 7.5
https://vuldb.com/?id.200351
https://nvd.nist.gov/vuln/detail/CVE-2022-22786
https://explore.zoom.us/en/trust/security/security-bulletin/
IBM Netezza Performance Portal 2.1.1.13 以下
CVE-2022-25235, CVE-2022-25236
CVSS: 7.8
https://www.ibm.com/blogs/psirt/security-bulletin-vulnerabilities-in-ibm-http-server-affect-ibm-netezza-performance-portal-2/
https://www.ibm.com/support/pages/node/6587106
===================================
■■■ Open Automation Software
脅威アナリストたちは、Open Automation Software (OAS) Platform に影響を及ぼした結果として、不正なデバイスアクセス/サービス拒否/リモートコード実行などにつながる脆弱性を公開しました。OAS Platform は、データ接続ソリューションとして広く利用されるものであり、産業用デバイス (PLC・OPC・Modbus)/SCADA/IoT/ネットワーク・ポイント/カスタム・アプリケーション/カスタム API/データベースなどを、全体的なシステムの下に統合しています。
Open Automation Software OAS 16.00.0112/16.00.0121
CVE-2022-26026, CVE-2022-26303, CVE-2022-26043
CWE-306(認証機能の欠落)、CWE-319(機密情報の平文による転送)
CVSS: 9.8
https://vuldb.com/?id.200724
https://vuldb.com/?id.200726
https://vuldb.com/?id.200725
https://blog.talosintelligence.com/2022/05/vuln-spotlight-open-automation-platform.html
https://iototsecnews.jp/2022/05/26/oas-platform-vulnerable-to-critical-rce-and-api-access-flaws/
https://iototsecnews.jp/2022/05/26/oas-platform-vulnerable-to-critical-rce-and-api-access-flaws/
===================================
■■■ Zyxel
Zyxel は、Firewall/AP Controller などの製品に影響をおよぼす、4つの脆弱性に対処するパッチをリリースしました。それらの脆弱性の悪用に成功した攻撃者に対して、任意の OS コマンドの実行や、選択した情報の窃取を許す恐れがあります。
https://iototsecnews.jp/2022/05/27/zyxel-issues-patches-for-4-new-flaws-affecting-ap-api-controller-and-firewall-devices/
ZyXEL USG、ZyXEL ZyWALL
CVE-2022-0910
CWE-287(不適切な認証)
CVSS: 6.5
https://vuldb.com/?id.200609https://nvd.nist.gov/vuln/detail/CVE-2022-09100
https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
ZyXEL USG、ZyXEL ZyWALL
CVE-2022-0734
CWE-79(クロスサイト・スクリプティング)
CVSS: 5.8
https://vuldb.com/?id.200613
https://nvd.nist.gov/vuln/detail/CVE-2022-0734
https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml
Zyxel USG/ZyWALL
CVE-2022-26531
CWE-120(バッファ・オーバーフロー)
CVSS: 6.1
https://vuldb.com/?id.200617
https://nvd.nist.gov/vuln/detail/CVE-2022-26531
Zyxel USG/ZyWALL
CVE-2022-26532
CWE-88(引数インジェクション)
CVSS: 7.8
https://vuldb.com/?id.200618
https://nvd.nist.gov/vuln/detail/CVE-2022-26532
===================================
■■■ EnemyBot(Vmware Identity Manager など)
複数のマルウェア・コードをベースにしたボットネット EnemyBot は、Webサーバー/CMS/IoT/Android 端末などで公開されたばかりの、深刻な脆弱性の悪用に迅速に対応し、その範囲を拡大しています。このボットネットは、Securonix の研究者により 3月に初めて発見され、Fortinet から新しいサンプルの分析結果が提供されました。4月には、すでに 12種類以上のプロセッサ・アーキテクチャの不具合を統合していました。このマルウェアは、分散型サービス拒否 (DDoS) 攻撃を主目的としており、新しいターゲット・デバイスをスキャンして感染させるモジュールも備えています。
https://iototsecnews.jp/2022/05/29/enemybot-malware-adds-exploits-for-critical-vmware-f5-big-ip-flaws/
Vmware Identity Manager、Vmware Workspace ONE Access
CVE-2022-22954
CWE-74(インジェクション)
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://vuldb.com/?id.196644
https://nvd.nist.gov/vuln/detail/CVE-2022-22954
VMware Spring Cloud Gateway 3.0.6/3.1.0 以下
CVE-2022-22947
CWE-94(コード・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.1941811
https://nvd.nist.gov/vuln/detail/CVE-2022-22947
https://www.exploit-db.com/exploits/50799
F5 BIG-IP 11.6.1~11.6.5/12.1.0~12.1.6/13.1.0~13.1.4/14.1.0~14.1.4/15.1.0~15.1.5/16.1.0~16.1.2
CVE-2022-1388
CWE-306(認証機能の欠落)
CVSS :9.8
https://support.f5.com/csp/article/K23605346
https://nvd.nist.gov/vuln/detail/CVE-2022-1388
TOTOLINK A3000RU 5.9c.2280_B20180512
CVE-2022-25075
CWE-77(コマンド・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.193707
https://nvd.nist.gov/vuln/detail/CVE-2022-25075
iRZ Mobile Router 2022-03-16 以下
CVE-2022-27226
CWE-352(クロスサイト・リクエスト・フォージェリ)
CVSS: 8.8
https://vuldb.com/?id.195527
https://nvd.nist.gov/vuln/detail/CVE-2022-27226
===================================
■■■ Microsoft Office
Windows Search で見つかった新たなゼロデイ脆弱性は、Word 文書を起動するだけで、リモートにホストされているマルウェア実行ファイルを取り込んだかたちで、検索ウィンドウを自動的に開いてしまうとされます。このセキュリティ上の問題は、Windows が search-ms と呼ばれる URI プロトコル・ハンドラをサポートしているため、アプリケーションと HTML リンクを組み合わせた、悪意の検索にも利用されてしまいます。
https://iototsecnews.jp/2022/06/01/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/
欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっています。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認しています。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしています。
https://iototsecnews.jp/2022/06/06/windows-zero-day-exploited-in-us-local-govt-phishing-attacks/
日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表しました。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されています。Microsoft の Office 2013/2016/2019/2021、および Professional Plus エディションが影響を受けるとされています。
https://iototsecnews.jp/2022/05/30/microsoft-releases-workarounds-for-office-vulnerability-under-active-exploitation/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/
===================================
■■■ Atlassian Confluence
Atlassian Confluence の深刻な脆弱性を悪用する攻撃が多発しており、サーバーが完全に乗っ取られる可能性があると、セキュリティ研究者たちが警告しています。この脆弱性 CVE-2022-26134 は、未認証のリモート・コード実行を可能にするコマンド・インジェクションの問題であり、Confluence Server/Confluence Data Center のすべての現行バージョンに影響を及ぼします。Volexity による、2つのゼロデイ攻撃に関するフォレンジック調査では、特別に細工した Web リクエストを Confluence のシステムに送信するだけで、認証情報やユーザーの操作を必要とせずに、攻撃者による悪用が成功する可能性があるとのことです。
https://iototsecnews.jp/2022/06/04/atlassian-confluence-%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7-cve-2022-26134%ef%bc%9a%e3%83%91%e3%83%83%e3%83%81%e9%81%a9%e7%94%a8%e3%81%be%e3%81%a7%e3%81%ae%e5%af%be%e5%bf%9c%e3%82%92%e8%a9%b3%e8%bf%b0/
Atlassian が発した警告は、Confluence Server/Data Center に影響をおよぼすリモート・コード実行の脆弱性に関して、パッチ適用前のシステムが数多く存在し、それらが活発に悪用されているというものです。 オーストラリアに本拠を置く Atlassian は、サイバーセキュリティ会社 Volexity が、脆弱性 CVE-2022-26134 を特定したことの功績を認めています。
https://iototsecnews.jp/2022/06/02/hackers-exploiting-unpatched-critical-atlassian-confluence-zero-day-vulnerability/
Atlassian は、Confluence Server/Data Center のゼロデイ脆弱性に対してセキュリティ・アップデートを公開し、インターネットに露出しているサーバーがバックドアとして悪用される問題に対処しました。このゼロデイ脆弱性 CVE-2022-26134 は、Confluence Server/Data Center の全ての現行バージョンに影響し、認証されていない攻撃者に対して、未パッチ・サーバー上でのリモート・コード実行を許す可能性があります。
https://iototsecnews.jp/2022/06/03/atlassian-fixes-confluence-zero-day-widely-exploited-in-attacks/
Atlassian Confluence Server 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満、Atlassian Confluence Data Center 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満
CVE-2022-26134
CVSS: 10
https://www.jpcert.or.jp/at/2022/at220015.html
https://nvd.nist.gov/vuln/detail/CVE-2022-26134
https://jira.atlassian.com/browse/CONFSERVER-79016
===================================
■■■ GitLab
.
GitLab は、同社のサービスに存在する、アカウントの乗っ取りにいたる可能性のある、深刻なセキュリティ欠陥に対処するための措置を講じました。この脆弱性 CVE-2022-1680 (CVSS:9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5/14.10〜14.10.4/15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされています。
GitLab Community Edition 15.0.1/14.10.4/14.9.5 未満、GitLab Enterprise Edition 15.0.1/14.10.4/14.9.5 未満
CVE-2022-1680
CVSS: 9.9
https://about.gitlab.com/releases/2022/06/01/critical-security-release-gitlab-15-0-1-released/
https://iototsecnews.jp/2022/06/03/gitlab-issues-security-patch-for-critical-account-takeover-vulnerability/
===================================
■■■ Windows Folina
Windows の深刻なゼロデイ脆弱性 Follina だが、現在進行中のフィッシング攻撃において、受信者を Qbot マルウェアに感染させるために悪用されています。月曜日に Proofpoint は、米国と欧州の政府機関を標的としたフィッシングで、このゼロデイ脆弱性が使用されていることを、初めて報告しました。また先週には、中国のハッキング・グループ TA413 が、チベット人居住区を標的とした攻撃で、この脆弱性を悪用していることも明らかにしています。
https://iototsecnews.jp/2022/06/07/qbot-malware-now-uses-windows-msdt-zero-day-in-phishing-attacks/
公開された Windows の脆弱性を Follina (CVE-2022-30190) 悪用する、複数のマルウェアが配信されていますが、2022年6月10日時点においても公式パッチが提供されていない状態です。この脆弱性は、Microsoft Support Diagnostic Tool (MSDT) に関連しており、特別に細工されたドキュメントを介した、リモートコード実行に悪用される可能性があります。
https://iototsecnews.jp/2022/06/09/follina-vulnerability-exploited-to-deliver-qbot-asyncrat-other-malware/
2022年6月は、Windows MSDT のゼロデイ脆弱性 Follina や Intel MMIO の新しい不具合などの、合計で 55件の脆弱性が修正されました。今日のアップデートで修正された 55件の脆弱性のうち、3件はリモート・コード実行を可能にするため深刻度は Critical に分類され、残りは Important に分類されています。なお、今週初めに公開された、Microsoft Edge の Chromium アップデート5件は含まれていません。
https://iototsecnews.jp/2022/06/14/microsoft-june-2022-patch-tuesday-fixes-1-zero-day-55-flaws/
ウクライナの Computer Emergency Response Team (CERT) は、ロシアのハッキング・グループ Sandworm が、Microsoft Windows Support Diagnostic Tool (MSDT) に存在するリモートコード実行の脆弱性 Follina (CVE-2022-30190) を、悪用している可能性があると警告しています。このセキュリティ問題は、特別に細工された文書を選択する、または、開くことで発生する可能性があり、2022年4月以降において脅威アクターたちが、この問題を攻撃で悪用しているとのことです。なお、ウクライナ CERT-UA は、この悪意の活動の背後に Sandworm というハッカー集団がいることについて、50% ほどの確率があると評価しています。
https://iototsecnews.jp/2022/06/13/russian-hackers-start-targeting-ukraine-with-follina-exploits/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability-jp/
===================================
■■■ Grafana
2021年12月に、Grafana のゼロデイ脆弱性 CVE-2021-43798 が野放しで活発に悪用されたことが、サイバー脅威の分野で注目を集めました。そして、世界中の数百万のユーザーが活用している、このオープンソースの観測プラットフォームに、新しい脆弱性が登場しました。グローバルな組織が、メトリックの収集とリアルタイムのデータ可視化のために活用している Grafana は、最近に発見された脆弱性 CVE-2022-32275/CVE-2022-32276 により、新しい攻撃の波にさらされています。これらの脆弱性は、主に Grafana Ver 8.4.3 に影響を及ぼすとされています。
https://iototsecnews.jp/2022/06/08/cve-2022-32275-and-cve-2022-32276-detection-of-exploitation-attempts-new-vulnerabilities-affecting-grafana/
DogWalk と呼ばれる、Microsoft Support Diagnostic Tool (MSDT) のゼロデイ脆弱性が、積極的に悪用されているリモートコード実行の脆弱性 Follina CVE-2022-30190 の直後に発生しました。MSDT に影響を与える、深刻なセキュリティ問題である Follina のときと同様に、Microsoft のトラブル・シューターは、この脆弱性が最初に注目されたときに見過ごしており、この文章を書いている時点では、この脆弱性に CVE は割り当てられていません。
https://iototsecnews.jp/2022/06/09/dogwalk-vulnerability-detection-new-path-traversal-flaw-in-microsoft-windows/
Grafana 8.4.3
CVE-2022-32275
CWE-23(相対パス・トラバーサル)
CVSS: 7.5
https://vuldb.com/?id.201346
https://nvd.nist.gov/vuln/detail/CVE-2022-32275
https://iototsecnews.jp/2022/06/08/cve-2022-32275-and-cve-2022-32276-detection-of-exploitation-attempts-new-vulnerabilities-affecting-grafana/
Grafana 8.4.3
CVE-2022-32276
CWE-284(不適切なアクセス制御)
CVSS: 6.3
https://vuldb.com/?id.202344
https://nvd.nist.gov/vuln/detail/CVE-2022-32276
https://iototsecnews.jp/2022/06/08/cve-2022-32275-and-cve-2022-32276-detection-of-exploitation-attempts-new-vulnerabilities-affecting-grafana/
===================================
■■■ Atlassian Confluence
Atlassian の Confluence Server/Data Center に存在するリモートコード実行 (RCE) 脆弱性を、複数のボットネットが狙っており、パッチが適用されていない Linux サーバーへの感染が広まっています。この脆弱性 CVE-2021-26084 の悪用に成功した未認証の攻撃者は、新たな管理者アカウントを作成し、コマンドを実行し、インターネットに公開されたサーバーを乗っ取り、最終的にはバックドアとしてリモート操作することが可能となります。
https://iototsecnews.jp/2022/06/08/linux-botnets-now-exploit-critical-atlassian-confluence-bug/
Atlassian Confluence Server 6.13.22/7.4.10/7.11.5/7.12.4 以下、Atlassian Confluence Data Center 6.13.22/7.4.10/7.11.5/7.12.4 以下
CVE-2021-26084
CWE-74(インジェクション)
CVSS: 6.3
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
https://vuldb.com/?id.181598
===================================
■■■ Owl Labs Meeting Owl
2022年6月6日の週の初めから、Owl Labs はビデオ会議デバイスに生じた深刻な脆弱性に対処していますが、すでに脅威アクターたちは悪用し始めています。この脆弱性 CVE-2022-31460 (CVSS 7.4) が、脆弱な Owl デバイスに対して悪用されると、自身が接続している Wi-Fi ネットワーク内の、不正なアクセスポイントにされる可能性が生じるます。
https://iototsecnews.jp/2022/06/09/threat-actors-start-exploiting-meeting-owl-pro-vulnerability-days-after-disclosure/
Owl Labs Meeting Owl 5.4.1.4 未満
CVE-2022-31460
CWE-798(認証情報ハードコード)
CVSS: 7.4
https://vuldb.com/?id.201236
https://nvd.nist.gov/vuln/detail/CVE-2022-31460
https://www.sourcenext.com/support/i/MOP_update/
https://resources.owllabs.com/blog/owl-labs-update
https://www.security-next.com/137269
===================================
■■■ Google Chrome
2022年6月6日の週に Google がリリースした Chrome 102 は、7つの脆弱性を修正するものであり、その中には外部研究者から報告された4つの脆弱性も含まれています。これらの脆弱性のうち、CVE-2022-2007 は WebGPU における use-after-free の問題であり、発見した David Manouchehri には $10,000 のバグバウンティ報酬が贈られています。
https://iototsecnews.jp/2022/06/10/chrome-102-update-patches-high-severity-vulnerabilities/
Google Chrome Desktop 102.0.5005.115 未満
CVE-2022-2007, CVE-2022-2008, CVE-2022-2010
https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop.html
===================================
■■■ PyPI パッケージ
PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明しています。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用していますが、keep v.1.2 にはマルウェアである request (s なし) が含まれています。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせました。
https://iototsecnews.jp/2022/06/12/pypi-package-keep-mistakenly-included-a-password-stealer/
keep for Python 1.1 以下
CVE-2022-30877
CWE-912(非公開機能の露呈)
CVSS: 9.8
https://vuldb.com/?id.201493
https://nvd.nist.gov/vuln/detail/CVE-2022-30877
PyPI 0.2
CVE-2022-30882
CWE-912(非公開機能の露呈)
CVSS: 9.8
https://vuldb.com/?id.201495
https://nvd.nist.gov/vuln/detail/CVE-2022-30882
PyPI 0.1
CVE-2022-31313
CWE-912(非公開機能の露呈)
CVSS: 9.8
https://vuldb.com/?id.201501
https://nvd.nist.gov/vuln/detail/CVE-2022-31313
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。